Por Carolina Botero
Clic aquí para leer la entrada original
Mientras escribo esta columna, en el parlamento francés se debate si el 2 de junio se empezará a usar la aplicación “Stop Covid” para asistir el proceso manual de rastreo de contacto en ese país. Esta misma semana también tendrá lugar la primera fase de la auditoría de seguridad digital pública a dicha aplicación. El contraste con nuestra realidad es diciente y hay algunas cosas que podríamos aprender del estilo francés.
En primer lugar, el debate en el parlamento se hace finalmente esta semana después de un período de prueba de la aplicación y con el fin de obtener la autorización para su uso general a partir del 2 de junio. La cosa sucede rápido, pero en Francia el parlamento peleó su poder decisorio y busca discutir las garantías de la aplicación, en particular en términos de privacidad, protección de datos y confiabilidad. Esto sin mencionar que en Francia la autoridad de protección de datos emitió una opinión favorable a la implementación de “Stop Covid” que incluía ciertas recomendaciones.
En contraste, en Colombia, CoronApp -la aplicación del Gobierno- se encuentra desde el pasado marzo en las tiendas de Apple y Google, en un modelo que hemos llamado “ensayo y error”. No hubo ni período de prueba ni piloto. Con casi ocho millones de descargas, recientemente la comisión primera de la Cámara aprobó una proposición para hacer un debate de control político a esta aplicación. Ojalá este debate se agende pronto y sirva para imprimir algo de transparencia en un proceso que ha sido bastante opaco. Adicionalmente, incluye una autoridad de protección de datos que se ocupa de TikTok pero que no ha hablado de CoronApp.
Además, la forma como Francia aborda el tema de seguridad digital también debe mirarse. Por la información pública sabemos que “Stop Covid” tuvo revisión interna por expertos de las tres empresas que participaron en su desarrollo (Orange, Capgemini, Dassault), pero adicionalmente también la revisaron investigadores del Instituto nacional de investigación digital (INRIA), ingenieros y abogados de la autoridad de protección de datos (CNIL), y auditores de la Agencia Nacional de Ciberseguridad (ANSSI). Lo que empezó esta semana es la fase de auditorías abiertas al público. La primera va hasta el 2 de junio y está a cargo de 25 hackers éticos registrados para ello, que harán una revisión independiente. El 2 de junio se abre la segunda fase, que es el programa público de recompensas (bug bounty) a través de una plataforma europea de hackers éticos, es decir, cualquiera que identifique y reporte fallas en la seguridad digital de la aplicación recibirá un dinero por eso.
La seguridad de grandes sistemas informacionales no es nada fácil de manejar, incluso para entidades con una capacidad técnica interna fuerte y con equipos competentes dedicados a la seguridad digital, esto puede ser una pesadilla. Como no es posible hablar de un sistema seguro al ciento por ciento, es cada vez más frecuente habilitar mecanismos externos complementarios para detectar vulnerabilidades, incidentes o violaciones a la seguridad de datos. En Karisma, donde trabajo, sabemos eso y en abril le hicimos un ejercicio de evaluación de seguridad digital y privacidad a CoronApp.
Los resultados del ejercicio se presentaron a los responsables describiendo varios problemas y dos vulnerabilidades importantes. Para reportarlo y garantizar respuesta usamos un canal con el Ministerio TIC que hemos creado en cuatro años de hacer ejercicios de este tipo. Atención, no es que en Colombia no se pueda reportar vulnerabilidades, es que no se facilita, no se promueve ni mucho menos se garantiza que hacerlo tendrá efectos positivos. Es decir, que no es seguro que, por una parte, se reparen los problemas y se informe de lo hecho a quien lo reporta, por otra, tampoco se garantiza que no habrá consecuencias negativas para quien dio la información -por ejemplo, que no se emprendan acciones judiciales- y, finalmente, no quedan informes públicos con datos sobre lo sucedido.
Durante estos años hemos demostrado que el ejercicio ciudadano de reportar vulnerabilidades es valioso, por eso debe haber de canales oficiales y de coordinación entre diferentes organismos estatales. También probamos que años de criminalización y temor a los hackers han creado un tejido regulatorio que plantea problemas para estas iniciativas. Todo eso lo reflejamos en un informe que presentamos al gobierno el año pasado “Estudio sobre rutas de divulgación en seguridad digital”.
Cuando presentamos el ejercicio de CoronApp y solicitamos que se hicieran auditorías periódicas internas, que se publicaran los informes y se abriera un canal para reportar aquellas vulnerabilidades que cualquier persona identificara, se nos dijo que ya la Agencia Nacional Digital hace las revisiones internas y que el Colcert está acompañando esta iniciativa. Es decir, que estemos tranquilas, que todo bien. La iniciativa francesa permite volver a insistir en este punto, la seguridad por opacidad no es la mejor amiga de la seguridad digital, la transparencia y apertura es más efectiva. Como propone Francia, tener más ojos mirando puede significar encontrar más problemas más rápido.
Por su alcance y por el afán en su desarrollo, CoronApp es una candidata ideal para un piloto de auditorías públicas de este tipo. Si el gobierno no está listo para un modelo de recompensa, podría quedarse con abrir un programa para registrar hackers éticos a los que autoriza a correr metodologías de auditoría en un plazo y con unas condiciones dadas. En todo caso, como mínimo deberían crear el canal coordinado de reporte de vulnerabilidades que hemos propuesto para que cualquiera les informe los fallos que encuentre. Es importante reafirmar que cualquier opción debe incluir protocolos y compromisos para publicar información no crítica sobre todos los hallazgos y las respuestas. Como lo muestra el programa francés, la transparencia construye confianza y de eso necesitan mucho iniciativas como CoronApp_Colombia.